[RESOLU] Probleme Kerberos

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
james
Messages : 23
Inscription : 18 sept. 2018 - 16:37

18 sept. 2018 - 16:49

WAPT1.3.13
Debian8
Win7&10
-----------------------
Bonjour,
j'ai effectué en test la mise à jour 1.3.13 -> 1.5. Cela fonctionne plutot bien. Par contre, je souhaiterais activer kerberos pour des raisons de sécurité mais j'ai cette erreur :
FATAL ERROR : EWaptBadServerAuthentication: Authentication failed on server https://....

J'ai déjà vu ce topic mais je n'ai pas de pb avec le champ DNS SRV : viewtopic.php?t=1060
A quel moment activer kerberos ? Faut il mieux le faire lors du postconf.sh initial ou plus tard ?
Cela fonctionne t'il sous Debian 9 ? Une question bete peut etre mais quel est l'id/mdp à saisir lors d'un apt-get register ?
Merci
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

19 sept. 2018 - 09:14

Lorsque vous activez kerberos sur le serveur les agent wapt doivent tenter de s'enregistrer avec un ticket kerberos.

Pour cela l'agent doit avoir use_kerberos = 1 dans sa configuration

https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt

Lorsque vous générez un agent depuis la console la case "Utiliser kerberos pour l'enregistrement initial" permet d'activer cela dans le waptagent.exe
james
Messages : 23
Inscription : 18 sept. 2018 - 16:37

19 sept. 2018 - 16:06

Oui j'ai déjà vérifié les fichiers de conf côté serveur et client et j'effectue bien la génération de l'agent.
J'ai réinstallé et suis finalement passé sur Debian 9.5.

J'ai une nouvelle erreur :
wapt-get register -S
.... HTTPError : 403 Error : FOrbidden for url : https://...../add_host_kerberos

Pb de conf du nginx ?
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

19 sept. 2018 - 22:54

Effectivement a l'heur actuel le postconf n'est pas super propre.

Il faut bien lancer le postconf avec l'option --use-kerberos

Code : Tout sélectionner

/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos
Sinon effectivement la conf nginx n'est pas adapté a kerberos
james
Messages : 23
Inscription : 18 sept. 2018 - 16:37

20 sept. 2018 - 11:46

L'authentification Kerberos ne fonctionne pas du tout chez moi ..
J'ai pourtant suivi la doc pas à pas :
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)

Test 1 :
Test sur un client référencé sur l'ad (Computers) (use_kerberos = 1 sur le client - use_kerberos = True, allow_unauthentificated_registration = False sur le serveur):):
wapt-get register -S
waptservice User : (admin local)
Password : ***
HTTPError : 403 Error : FOrbidden for url : https://wapt.0861234a.lan//add_host_kerberos

Test 2 :
Test sur un client référencé sur l'ad (Computers) (use_kerberos = 0 sur le client - use_kerberos = True, allow_unauthentificated_registration = False sur le serveur):
wapt-get register -S
waptservice User : (admin local)
Password : ***
EWaptBadServerAuthentification : Authentification failed on server https://wapt.0861234a.lan for action add_host

Test 3 :
Test sur un client référencé sur l'ad (Computers) (use_kerberos = 0 sur le client - use_kerberos = True, allow_unauthentificated_registration = True sur le serveur):
wapt-get register -S
waptservice User : (admin local)
Password : ***
L'inventaire a été envoyé au serveur WAPT (la machine apparait bien sur la console

/var/log/nginx/error.log :
[error] *640 open() "/var/www/wapt-host/676.....wapt" failed (2: No such file or directory), client : IP, server: _, request : "GET ...

Conf client :
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0

Conf serveur : /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true

[options]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
allow_unauthentificated_registration = False
secret_key = ...
use_kerberos = True
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

20 sept. 2018 - 15:43

Au vu du message d'erreur

Code : Tout sélectionner

HTTPError : 403 Error : FOrbidden for url : https://wapt.0861234a.lan//add_host_kerberos
la conf nginx est mauvaise
add_host_kerberos retourne 403 si --use-kerberos n'est pas passer en option (je viens de faire un correctif pour rendre le postconf plus propre)

vérifier votre conf nginx


si ceci est présent dans /etc/nginx/sites-enabled/wapt.conf:

Code : Tout sélectionner

        location /add_host_kerberos {
            return 403;
        }
        
Alors le postconf n'a pas été correctement appliqué
james
Messages : 23
Inscription : 18 sept. 2018 - 16:37

20 sept. 2018 - 17:02

Bon effectivement je viens de relancer la commande
/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos
et il me modifie bien le contenu du /add_host_kerberos dans le /etc/nginx/sites-enabled/wapt.conf.

j'ai désormais :
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}

Par contre, ça ne fonctionne tjs pas ... je suis de retour avec mon erreur de début :
EWaptBadServerAuthentication: Authentication failed on server https://wapt.0861234a.lan/ for action add_host_kerberos..

Otez moi d'un doute, le WaptService User demandé pour le register est bien un compte admin local à fournir ? J'ai essayé avec l'admin du domaine et c'est pareil

J'ai toujours cette erreur :
/var/log/nginx/error.log :
[error] *640 open() "/var/www/wapt-host/676.....wapt" failed (2: No such file or directory), client : IP, server: _, request : "GET ...

---
Le kinit fonctionne bien .. le klist aussi .. msktutil ok - les droits ok
On est bien d'accord que l'on vide le contenu du fichier /etc/krb5.conf et l'on met ca :
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false

Juste un truc sinon le "Pour vérfier, la ligne de commande echo $(hostname) doit renvoyer l’adresse DNS qu’utiliseront les agents WAPT."
moi il me renvoie juste son nom de machine à savoir wapt, est-ce normal ?

Merci
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

20 sept. 2018 - 23:37

james a écrit : 20 sept. 2018 - 17:02 Juste un truc sinon le "Pour vérfier, la ligne de commande echo $(hostname) doit renvoyer l’adresse DNS qu’utiliseront les agents WAPT."
moi il me renvoie juste son nom de machine à savoir wapt, est-ce normal ?
Non
Comme l'indique la doc "echo $(hostname) doit renvoyer l’adresse DNS qu’utiliseront les agents WAPT"

sinon votre serviceprincipalname ne sera pas correctement enregistré dans l'ad.

* Supprimer le compte machine du serveur wapt de l'ad
* Supprimer le ticket /etc/nginx/http-krb5.keytab

Recomencer maintenant la procédure du début avec un nom fqdn complet dans votre /etc/hostname
james
Messages : 23
Inscription : 18 sept. 2018 - 16:37

25 sept. 2018 - 13:59

Effectivement le problème venait bien du hostname ..
Dernière question, comment enregistrer désormais une machine hors AD ? Merci
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1368
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

25 sept. 2018 - 20:01

Bonjour James,
james a écrit : 25 sept. 2018 - 13:59 Effectivement le problème venait bien du hostname ..
Dernière question, comment enregistrer désormais une machine hors AD ? Merci
il est recommandé d'ouvrir un nouveau topic pour un nouveau sujet. Je clôture celui ci en résolu.

Cordialement,

Denis
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Verrouillé